Die Malware-Kampagne offenbart ein ausgefeiltes technisches Konzept, das mehrere Angriffsebenen kombiniert. Nach der Installation einer infizierten App beginnt NoVoice zunächst damit, Informationen über das Zielgerät zu sammeln. Die Malware prüft dabei 15 verschiedene Sicherheitsmechanismen ab – darunter Emulatoren, Debugger und VPN-Verbindungen – um keine Analyseumgebungen zu infizieren. Interessanterweise vermeidet der Betreiber gezielt Infektionen in bestimmten Regionen wie Beijing und Shenzhen in China.
Die technische Struktur ist beeindruckend komplex. McAfee-Forscher entdeckten, dass der Angreifer die Malware-Komponenten in einem Facebook-SDK-Paket versteckte und dabei legitime Facebook-Klassen mit bösartigem Code vermischte. Ein verschlüsselter Payload wurde mittels Steganographie in eine PNG-Bilddatei eingebettet und erst zur Laufzeit extrahiert – eine Technik, die Signaturdatenbanken umgeht.
Das Kernstück der Attacke sind 22 unterschiedliche Exploits für Kernel-Schwachstellen und Mali-GPU-Treiber-Flaws, die der Malware Root-Zugriff ermöglichen. Mit dieser Privilegieeskalation deaktiviert NoVoice dann SELinux – eine kritische Sicherheitsarchitektur von Android – und ersetzt zentrale Systembibliotheken durch manipulierte Versionen, die alle Systemaufrufe abfangen und umleiten.
Besonders hartnäckig ist die Persistenzmechanismus. Die Malware installiert Recovery-Scripts, ersetzt den System-Crash-Handler und speichert Fallback-Payloads in der Systempartition. Diese wird bei einem Werksreset nicht gelöscht – die Malware überlebt also auch aggressive Reinigungsversuche. Ein Watchdog-Daemon überprüft alle 60 Sekunden die Integrität des Rootkits und erzwingt notfalls einen Neustart, um fehlende Komponenten neu zu laden.
Die finale Angriffsphase ist am bedrohlichsten für Nutzer. NoVoice injiziert Schadcode in jede Anwendung, die gestartet wird. Zwei Hauptkomponenten ermöglichen dabei die stille Installation oder Entfernung von Apps und – deutlich kritischer – Datenverlust. Das Malware-Team konzentrierte sich bei bekannten Fällen primär auf WhatsApp: Wenn die Messaging-App geöffnet wird, extrahiert NoVoice die Verschlüsselungsdatenbanken, Signal-Protokoll-Keys und Kontoinformationen inklusive der Google-Drive-Backup-Details. Mit diesen Daten können Angreifer die komplette WhatsApp-Sitzung auf ihre eigenen Geräte klonen.
Google hat die infizierten Apps nach Meldung durch McAfee aus dem Play Store entfernt. Nutzer mit bereits installierten Apps sollten jedoch von einer vollständigen Gerätekompromaierung ausgehen. Die beste Mitigation: Upgrade auf Android-Versionen mit Security-Patches nach Mai 2021 und Installation von Apps nur bekannter, vertrauenswürdiger Entwickler.